Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Guida alla scadenza dei certificati di Avvio protetto Microsoft

Poiché alcuni certificati di avvio protetto di Microsoft scadono nel 2026, questo documento fornisce indicazioni su come aggiornare le istanze Shielded VM di Compute Engine in modo che considerino attendibili i certificati di avvio protetto di Microsoft aggiornati per l'avvio protetto UEFI (Unified Extensible Firmware Interface). I due certificati più critici in scadenza sono Microsoft Corporation UEFI CA 2011 (scade il 27 giugno 2026), che firma i bootloader di terze parti (come Linux Shim), e Microsoft Windows Production PCA 2011 (scade il 19 ottobre 2026), che firma il bootloader di Windows.

L'avvio protetto UEFI è uno standard di sicurezza utilizzato dalle Shielded VM per garantire che solo software e firmware attendibili vengano eseguiti durante il processo di avvio della VM. Per supportare Secure Boot su vari sistemi operativi, Microsoft gestisce i certificati UEFI.

Certificati di avvio protetto e date di scadenza

Nome del certificato	Ruolo	Data di scadenza
Microsoft Corporation UEFI CA 2011	Firma i bootloader di terze parti (ad esempio Linux Shim)	27 giugno 2026
Microsoft Windows Production PCA 2011	Firma il bootloader di Windows	19 ottobre 2026
Microsoft Corporation KEK CA 2011	Utilizzato per aggiornare DB e DBX	24 giugno 2026

Se utilizzi Avvio protetto su istanze Compute Engine create prima del 7 novembre 2025 e vuoi continuare a ricevere aggiornamenti del firmware per evitare potenziali problemi di avvio in futuro, installa i certificati aggiornati. Questo documento spiega come identificare le istanze interessate ed eseguire gli aggiornamenti necessari.

L'implementazione dei nuovi certificati è terminata il 7 novembre 2025. Le istanze create a partire da questa data includono i certificati aggiornati e non richiedono ulteriori azioni. Tuttavia, alcune istanze create nelle settimane precedenti questa data potrebbero includere anche i nuovi certificati. Per verificare che il sistema sia aggiornato, utilizza i comandi forniti nella sezione Verifica di questo documento.

Nota:la scadenza del certificato Secure Boot non influisce su quanto segue:

Istanze che non utilizzano i registri di configurazione della piattaforma (PCR) vTPM per la sigillatura dei secret e non hanno l'avvio protetto abilitato. L'avvio protetto non è abilitato per impostazione predefinita quando crei un'istanza Shielded VM.
Istanze che eseguono Container-Optimized OS (COS).
Istanze in cui fornisci la tua chiave della piattaforma Secure Boot (PK) o la chiave di registrazione della chiave (KEK).

Per le istanze di Compute create prima del 7 novembre 2025 che non dispongono dei certificati aggiornati, segui la guida all'aggiornamento di KEK e db per aggiornare i certificati. Se per qualsiasi motivo non riesci a farlo, valuta la possibilità di ricreare le istanze.

In che modo la scadenza del certificato di avvio protetto influisce su Shielded VM

Se abilitata, Shielded VM applica l'avvio protetto utilizzando il firmware UEFI, che gestisce un insieme di certificati attendibili (nella variabile db) per verificare le firme dei file binari della sequenza di avvio. Se, ad esempio, un aggiornamento del sistema operativo sostituisce un bootloader con uno firmato solo da Microsoft UEFI CA 2023 e il firmware dell'istanza di Compute non considera attendibile l'autorità di questo certificato, la verifica dell'avvio protetto non va a buon fine e l'avvio protetto interrompe il processo di avvio.

Per ulteriori dettagli su questa transizione, consulta le indicazioni di Microsoft e di altri fornitori di sistemi operativi:

Impatto sul sistema operativo

Se hai abilitato l'Avvio protetto su un'istanza Shielded VM creata prima del 7 novembre 2025, ti consigliamo di assicurarti che i certificati 2023 siano installati; in caso contrario, l'istanza di computing potrebbe riscontrare problemi di avvio in seguito a un aggiornamento contenente un bootloader firmato solo dal certificato Microsoft UEFI CA 2023. Se non intervieni, potresti non essere in grado di applicare nuovi aggiornamenti del bootloader o del kernel contenenti file binari firmati solo con il certificato 2023, il che potrebbe rendere i sistemi più vulnerabili a determinati attacchi. Per le istanze di computing create prima del 7 novembre 2025: se non applichi gli aggiornamenti dei certificati prima della metà del 2026, i clienti Windows potrebbero visualizzare l'ID evento 1801 ("Secure Boot CA/keys need to be updated") nel log eventi di sistema.

Immagini pubbliche fornite da Google:aggiorna i certificati DB e KEK seguendo la guida all'aggiornamento di KEK e DB. In alternativa, valuta la possibilità di ricreare le VM a esecuzione prolungata create prima del 7 novembre 2025.
Immagini personalizzate o importate:ti consigliamo di assicurarti che le istanze create utilizzando le tue immagini considerino attendibile il certificato Microsoft UEFI CA 2023. Se l'immagine contiene certificati incorporati che non includono il certificato Microsoft UEFI CA 2023, puoi aggiornarla eseguendo il deployment dei certificati appropriati oppure puoi ricompilarla. Per ricompilare l'immagine, inizia da un'immagine di base fornita da Google e riapplica le personalizzazioni. Le immagini fornite da Google non contengono certificati incorporati, quindi Compute Engine fornisce i certificati aggiornati quando crei un'istanza da un'immagine di questo tipo.

Azioni consigliate

Se hai istanze di Compute create prima del 7 novembre 2025 con Secure Boot attivato o se utilizzano software di crittografia completa del disco (FDE) (inclusi BitLocker su Windows e altri FDE su Linux), Virtual Secure Mode (VSM) su Windows o che utilizzano i registri di configurazione della piattaforma vTPM (PCR) per la sigillatura dei segreti, devi esaminare le azioni descritte nelle sezioni seguenti. Queste indicazioni si applicano anche se esegui il rollback a un'immagine della macchina precedente al 7 novembre 2025.

Identificare le istanze di computing interessate e pianificare l'aggiornamento

Entro il 24 giugno 2026, ti consigliamo di identificare le istanze di calcolo interessate e di seguire i passaggi riportati di seguito per prepararti all'aggiornamento:

Identifica le istanze:puoi utilizzare il comando gcloud compute instances list per identificare le istanze in cui è abilitato l'avvio protetto e che sono state create prima della data limite:

gcloud compute instances list \
--filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
--format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT,shieldedInstanceConfig.enableIntegrityMonitoring:label=INTEGRITY_MONITORING)"

Garantisci l'integrità dei dati: assicurati di avere backup recenti dei dati e accesso a eventuali chiavi di recupero FDE o BitLocker prima di procedere con qualsiasi modifica.
Aggiorna certificati:aggiorna i certificati DB e KEK seguendo la guida all'aggiornamento di KEK e DB. In alternativa, esegui la migrazione a un'istanza di computing creata a partire dal 7 novembre 2025, che include i certificati del 2023, seguendo le istruzioni riportate in Ricrea un'istanza di computing da uno snapshot del disco.

Ricrea un'istanza di computing da uno snapshot del disco

Quando crei uno snapshot del disco e crei una nuova istanza da questo snapshot, la nuova istanza di computing eredita uno stato del firmware (vTPM/NVRAM) aggiornato che considera attendibili i valori predefiniti aggiornati ed elimina i vecchi certificati.

Prima di ricreare un'istanza di computing da uno snapshot, assicurati che il sistema operativo guest abbia tutti gli aggiornamenti necessari installati (ad esempio le KB Microsoft pertinenti per Windows o l'ultimo shim per le distribuzioni Linux) per considerare attendibili i certificati del 2023.

Per gestire questa migrazione, puoi utilizzare la seguente sequenza di comandi gcloud:

Identifica il disco di avvio:determina il nome del disco di avvio collegato all'istanza di computing di origine:

SOURCE_DISK=$(gcloud compute instances describe SOURCE_INSTANCE_NAME \
    --zone=ZONE \
    --format="value(disks[0].source.basename())")

Crea uno snapshot del disco:esegui uno snapshot del disco di avvio. Per un'integrità ottimale dei dati, arresta l'istanza di computing prima di eseguire questo comando:

gcloud compute disks snapshot $SOURCE_DISK \
    --snapshot-names="migration-snapshot-$(date +%s)" \
    --zone=ZONE \
    --storage-location=REGION

Crea una nuova istanza di computing:esegui il provisioning di una nuova istanza di computing utilizzando lo snapshot come origine di avvio. Se l'avvio protetto è abilitato nell'istanza di origine, includi il flag --shielded-secure-boot per abilitare l'avvio protetto nella nuova istanza.
```
gcloud compute instances create NEW_INSTANCE_NAME \
    --zone=ZONE \
    --machine-type=MACHINE_TYPE \
    --create-disk=name=NEW_DISK_NAME,source-snapshot=SNAPSHOT_NAME,boot=yes \
    --shielded-secure-boot
```

Nota:le istanze di cui è stato eseguito il provisioning utilizzando questo approccio ricevono nuovi indirizzi IP interni ed esterni, a meno che non siano allocati staticamente e riassegnati in modo specifico. I metadati, i tag e i service account a livello di istanza non vengono replicati automaticamente e devono essere configurati in modo esplicito durante la ricreazione.

Verifica

Dopo aver aggiornato il firmware e il sistema operativo delle istanze di calcolo, puoi verificare che i certificati del 2023 siano presenti. Se le variabili KEK e db mostrano che sono presenti i certificati del 2023, la tua istanza è aggiornata e non è richiesta alcuna ulteriore azione.

Linux

Se efi-readvar non è presente, installa il pacchetto efitools. Per l'installazione su Linux, esegui il comando per la tua distribuzione:

Debian/Ubuntu
```
sudo apt update && sudo apt install efitools
```
RHEL/CentOS/Fedora
```
sudo yum install efitools
```
SLES
```
sudo zypper install efitools
```

Controlla i certificati nelle variabili KEK e db:

sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
sudo efi-readvar -v db | grep "UEFI CA 2023"

Windows (PowerShell)

Esegui il seguente comando in un prompt di PowerShell amministratore. Ogni comando deve restituire True.

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

# Confirm general Secure Boot enrollment state
Confirm-SecureBootUEFI

Risoluzione dei problemi

Se un'istanza non si avvia a causa di un errore di avvio protetto dopo giugno 2026, prova una delle seguenti opzioni per recuperarla:

Disabilita temporaneamente l'avvio protetto:in questo modo puoi avviare l'istanza per applicare gli aggiornamenti.

Nota: la disattivazione dell'avvio protetto modifica i valori PCR (in particolare PCR7), il che potrebbe influire sulla funzionalità di sigillatura dei segreti o di crittografia del disco.

Per disattivare l'avvio protetto, esegui questo comando:
```
gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot
```
Dopo l'avvio dell'istanza, applica gli aggiornamenti necessari del sistema operativo e dei componenti di avvio, quindi riattiva l'avvio protetto:
```
gcloud compute instances update INSTANCE_NAME --shielded-secure-boot
```
Ripristina dal backup: ripristina l'istanza da un'immagine macchina creata prima dell'inizio dei problemi di avvio.
Ricrea istanza:ricrea l'istanza e recupera i dati da uno snapshot.

Se continui a riscontrare problemi o hai bisogno di aiuto, contatta l'assistenza clienti Google Cloud.

Domande frequenti

Questa sezione fornisce risposte alle domande più comuni sulla scadenza del certificato Microsoft Secure Boot.

Quando scadono i certificati di avvio protetto?

I certificati di avvio protetto di Microsoft scadranno nel 2026. In particolare:

I due certificati più critici che si avvicinano alla fine del ciclo di vita sono Microsoft Corporation UEFI CA 2011 (scade a giugno 2026), che firma i bootloader di terze parti (come Linux Shim), e Microsoft Windows Production PCA 2011 (scade a ottobre 2026), che firma il bootloader di Windows.

La scadenza interessa sia i clienti Windows che Linux?

Sì, la scadenza riguarda sia i clienti Windows che Linux.

Chi è interessato dalla scadenza del certificato?

Questo problema potrebbe interessare solo i clienti con istanze di calcolo a esecuzione prolungata create prima del 7 novembre 2025. Le istanze interessate includono:

VM Linux e Windows con Avvio protetto abilitato.
Qualsiasi istanza che utilizza i registri di configurazione della piattaforma (PCR) del Virtual Trusted Platform Module (vTPM) per la sigillatura dei secret.
Istanze di calcolo Windows che utilizzano la crittografia dei dischi (BitLocker) o la modalità sicura virtuale (VSM).
VM Linux che utilizzano FDE.
Istanze che eseguono il rollback a un'immagine macchina precedente a novembre 2025.

Chi non è interessato dalla scadenza del certificato?

Non sei interessato se rientri in una delle seguenti categorie:

Non utilizzi l'avvio protetto, la sigillatura dei secret nei PCR vTPM o la crittografia completa del disco (incluso BitLocker).
Utilizzi istanze Linux Container-Optimized OS (COS).
Fornisci la tua chiave della piattaforma (PK) o la chiave di registrazione della chiave (KEK). Se utilizzi la tua PK o KEK, Compute Engine utilizza le tue chiavi personalizzate, quindi la scadenza dei certificati predefiniti non ti riguarda. Tuttavia, sei responsabile della gestione delle tue chiavi e di assicurarti che i tuoi certificati siano aggiornati.

Cosa succede se non intervengo?

Se non intraprendi alcuna azione, l'istanza continua ad avviarsi e a funzionare normalmente con i relativi file binari esistenti. Tuttavia, potresti non essere in grado di applicare nuovi aggiornamenti del bootloader o del kernel contenenti file binari firmati solo con il certificato 2023, il che potrebbe rendere i sistemi più vulnerabili a determinati attacchi. Per le istanze di computing create prima del 7 novembre 2025, se non applichi gli aggiornamenti dei certificati prima della metà del 2026, i clienti Windows potrebbero visualizzare l'ID evento 1801 ("Secure Boot CA/keys need to be updated") nel log eventi di sistema.

Se non riesco ad aggiornare i certificati, le istanze Windows non si avvieranno?

No. La mancata correzione non impedirà l'avvio del sistema Windows. Tuttavia, potresti visualizzare l'ID evento 1801 ("È necessario aggiornare CA/chiavi di avvio protetto") nel log eventi di sistema e non potrai applicare nuovi aggiornamenti della sicurezza del kernel o del bootloader contenenti file binari firmati solo con il nuovo certificato 2023.

Quali condizioni specifiche causano errori di avvio su Linux?

Un errore di avvio può verificarsi su Linux in condizioni specifiche:

L'istanza ha Avvio protetto abilitato.
La variabile UEFI db non viene aggiornata per considerare attendibile il certificato "Microsoft UEFI CA 2023".
Il sistema operativo aggiorna un bootloader (o shim) che si basa rigorosamente su quel certificato.

Se non applichi gli aggiornamenti dei certificati o gli aggiornamenti degli shim che fanno riferimento ai nuovi certificati, l'istanza Linux continuerà ad avviarsi correttamente.

Come faccio a determinare se la mia istanza dispone dei certificati aggiornati?

Per determinare se la tua istanza include i nuovi certificati nel firmware, consulta i comandi descritti nella sezione Verifica. Se mancano i certificati, puoi aggiornarli seguendo la guida all'aggiornamento di KEK e db o ricreare l'istanza.

Il riavvio di un'istanza interessata risolve il problema?

No. Il riavvio di un'istanza di computing non aggiorna i relativi certificati di avvio protetto, ma l'istanza continua ad avviarsi e a funzionare normalmente con i certificati esistenti finché non viene applicato un aggiornamento del bootloader o del kernel che contiene binari firmati solo con il certificato 2023. Se riavvii l'istanza di computing, questa conserva i vecchi certificati se è stata creata originariamente prima del 7 novembre 2025. I certificati fanno parte del firmware (vTPM/NVRAM) dell'istanza. Pertanto, devi seguire la guida all'aggiornamento di KEK e db o ricreare l'istanza per applicare i nuovi certificati.

Come devo prepararmi alla scadenza del certificato?

Per prepararti, segui questi passaggi:

Identifica:controlla l'utilizzo di Shielded VM, Avvio protetto, FDE, BitLocker o qualsiasi software che si basa sui PCR vTPM.
Chiavi di recupero e backup:garantisci la pronta disponibilità delle chiavi di recupero (per FDE/BitLocker) e dei backup dei dati più recenti.
Gestisci immagini:identifica le immagini personalizzate legacy e interrompine l'utilizzo o assicurati che includano i nuovi certificati.
Aggiornamento o migrazione: se vuoi aggiornare i certificati anziché ricreare l'istanza, consulta la guida all'aggiornamento di KEK e db. In alternativa, valuta la possibilità di ricreare le istanze di computing a lunga esecuzione create prima del 7 novembre 2025, poiché le nuove istanze includono già i certificati necessari.

Quali sono i metodi consigliati per ricreare o eseguire la migrazione delle istanze interessate?

Gli snapshot standard del disco forniscono il metodo più affidabile. Uno snapshot è una copia a livello di blocco del disco e non contiene variabili UEFI o metadati a livello di istanza. Per eseguire il ripristino utilizzando uno snapshot:

Crea uno snapshot del disco di avvio dell'istanza.
Crea una nuova istanza di computing e seleziona lo snapshot come origine per il disco di avvio.

Non devi utilizzare le immagini macchina, la clonazione delle istanze o il servizio di Backup e DR per questa migrazione perché replicano il firmware dell'istanza e conservano i vecchi certificati per qualsiasi istanza di computing di origine creata prima del 7 novembre 2025.

Cosa devo fare se il mio sistema smette di avviarsi dopo giugno 2026?

Se ritieni che questo problema abbia causato un errore di avvio, consulta la sezione Risoluzione dei problemi.

In che modo Google Cloud gestisce la scadenza dei certificati di avvio protetto Microsoft?

Google Cloud inclusi automaticamente i nuovi certificati per le istanze di calcolo create dopo il 7 novembre 2025. Solo i clienti che vogliono mantenere in esecuzione le istanze di calcolo precedenti al 7 novembre 2025 potrebbero dover applicare un aggiornamento futuro, ma consigliamo di eseguire la migrazione a un'istanza creata a partire dal 7 novembre 2025.

Passaggi successivi

Scopri di più su Shielded VM.
Scopri come modificare le opzioni di Shielded VM.
Scopri di più sull'avvio protetto.